الجدار , الناري , firewall , فوائده , وخصائصه
الجدار الناري , فوائده وخصائصه firewall
مقدمة :
• شبكات الحاسب (Computer network ) يمكن أن يتم حمايتها من الهجمات ( الداخلية internal – الخارجية external ) عن طريق استخدام الجداران النارية (firewalls (FW) ) حيث أن التشكيل الخاص للجدار النارى (specially configured firewall ) على الشبكة سيمنع الوصول الغير مرغوب (block unwanted access ) ... وعلى أى حال فإننا نجد أن مفهوم الجدار النارى firewall يساء فهمه بشكل كامل ... كما أن العديد من المنظمات لا تفهم ( قابلية capabilities – حدود limitations ) الجدار النارى ... ونتيجة لذلك يمكن أن يكون لديها شعور مزيف بالأمان (Security) ... دعنا نستعرض ( حسنات – سيئات ) الجدار النارية firewalls
• مزايا الجدار النارى ... منع الوصول الخارجى إلى الشبكة .
• عيوب الجدار النارى :
o هناك دائماً ثغرة للمرور خلالها .. إما مرور جيد أو مرور سىء
o الجدار النارى يستطيع فقط السيطرة على حركة البيانات traffic الذى يمر من خلاله .... ولكنه لا يحمى الموديم modems أو نقاط الوصول access points
o الجدار النارى يمكن أن يتم تشكيله بشكل خاطئ misconfigured أو قد يتم مراوغته تقنياً technically circumvented )
o ليس هناك شىء أسوأ من " الشعور المزيف بالأمان " (false sense of security )
• مرت الجدار النارية بعدة أجيال بغرض التحسين ... فالجيل الأول كان بسيط جداً ... كان عبارة عن موجه (Router) لديه access list بدائية ... تحدد اتجاهات المرسل sender والمستقبل destination من عناوين الشبكة network addresses ... ولكن المهاجمون Attackers أصبحوا أكثر تطوراً (more sophisticated ) وظهرت الحاجة إلى جدار نارية firewalls أفضل .
أولاً : الأجيال المختلفة لتقنيات للجدار النارية firewalls
الجيل الأول ... مرشح الحزم packet filter :
الجيل الأول كان مرشح حزم البيانات (packet filter ) ... وكان الترشيح (Filtering ) يستند على عنوان المرسل والمستلم (sending and receiving address ) متحد مع منفذ الخدمة (service port ) الذى تمر خلاله حزمة البيانات packet ... وكانت ميزة هذا التصميم هو " التكلفة المنخفضة " ... ولكن من عيوبه أن هذا التصميم أنه كان عرضة للمشاكل ( فهذا التصميم أصيب بالـ poor logging – القواعد rules كانت صعبة التطبيق عملياً – المهاجمون Hackers مازالوا قادرين على الدخول إلى الشبكات )
الطريقة الثانية ... تركيب two interface cards على نفس الـ Host :
وهذه الطريقة يشار إليها بـ "dual-homed" ... والـ host computer يتم تشكيله بحيث يتم تعطيل التوجيه configured with the routing disabled ... ثم يتم استخدام تطبيق خاص لتحقيق الاتصال الملائم بين بطاقتى الشبكة ... وهذه هى الـ configuration للعديد من الـ Internet firewalls ... والشكل التالى يصور dual-homed host .
الطريقة الثالثة ... screened subnet - DMZ design :
الـ DMZ هو تعبير يشير إلى "منطقة منزوعة السلاح " demilitarized zone بين قوات العدو فى ساحة المعركة ... تصميم الـ DMZ يسمح لعدة حاسبات several computers بأن توضع فى شبكة فرعية محمية protected subnet هذه المنطقة يتم الوصول إليها ( من الخارج – بواسطة الأنظمة من داخل الشبكة ) ... والشكل التالى يصور مفهوم الـ DMZ
الجدار الناري , فوائده وخصائصه firewall
مقدمة :
• شبكات الحاسب (Computer network ) يمكن أن يتم حمايتها من الهجمات ( الداخلية internal – الخارجية external ) عن طريق استخدام الجداران النارية (firewalls (FW) ) حيث أن التشكيل الخاص للجدار النارى (specially configured firewall ) على الشبكة سيمنع الوصول الغير مرغوب (block unwanted access ) ... وعلى أى حال فإننا نجد أن مفهوم الجدار النارى firewall يساء فهمه بشكل كامل ... كما أن العديد من المنظمات لا تفهم ( قابلية capabilities – حدود limitations ) الجدار النارى ... ونتيجة لذلك يمكن أن يكون لديها شعور مزيف بالأمان (Security) ... دعنا نستعرض ( حسنات – سيئات ) الجدار النارية firewalls
• مزايا الجدار النارى ... منع الوصول الخارجى إلى الشبكة .
• عيوب الجدار النارى :
o هناك دائماً ثغرة للمرور خلالها .. إما مرور جيد أو مرور سىء
o الجدار النارى يستطيع فقط السيطرة على حركة البيانات traffic الذى يمر من خلاله .... ولكنه لا يحمى الموديم modems أو نقاط الوصول access points
o الجدار النارى يمكن أن يتم تشكيله بشكل خاطئ misconfigured أو قد يتم مراوغته تقنياً technically circumvented )
o ليس هناك شىء أسوأ من " الشعور المزيف بالأمان " (false sense of security )
• مرت الجدار النارية بعدة أجيال بغرض التحسين ... فالجيل الأول كان بسيط جداً ... كان عبارة عن موجه (Router) لديه access list بدائية ... تحدد اتجاهات المرسل sender والمستقبل destination من عناوين الشبكة network addresses ... ولكن المهاجمون Attackers أصبحوا أكثر تطوراً (more sophisticated ) وظهرت الحاجة إلى جدار نارية firewalls أفضل .
أولاً : الأجيال المختلفة لتقنيات للجدار النارية firewalls
الجيل الأول ... مرشح الحزم packet filter :
الجيل الأول كان مرشح حزم البيانات (packet filter ) ... وكان الترشيح (Filtering ) يستند على عنوان المرسل والمستلم (sending and receiving address ) متحد مع منفذ الخدمة (service port ) الذى تمر خلاله حزمة البيانات packet ... وكانت ميزة هذا التصميم هو " التكلفة المنخفضة " ... ولكن من عيوبه أن هذا التصميم أنه كان عرضة للمشاكل ( فهذا التصميم أصيب بالـ poor logging – القواعد rules كانت صعبة التطبيق عملياً – المهاجمون Hackers مازالوا قادرين على الدخول إلى الشبكات )
الطريقة الثانية ... تركيب two interface cards على نفس الـ Host :
وهذه الطريقة يشار إليها بـ "dual-homed" ... والـ host computer يتم تشكيله بحيث يتم تعطيل التوجيه configured with the routing disabled ... ثم يتم استخدام تطبيق خاص لتحقيق الاتصال الملائم بين بطاقتى الشبكة ... وهذه هى الـ configuration للعديد من الـ Internet firewalls ... والشكل التالى يصور dual-homed host .
الطريقة الثالثة ... screened subnet - DMZ design :
الـ DMZ هو تعبير يشير إلى "منطقة منزوعة السلاح " demilitarized zone بين قوات العدو فى ساحة المعركة ... تصميم الـ DMZ يسمح لعدة حاسبات several computers بأن توضع فى شبكة فرعية محمية protected subnet هذه المنطقة يتم الوصول إليها ( من الخارج – بواسطة الأنظمة من داخل الشبكة ) ... والشكل التالى يصور مفهوم الـ DMZ
التعديل الأخير بواسطة المشرف:
